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Prufungsantrag gem. § 44 PatG ist gestellt 

® Verfahren zum Versehen von Postsendungen mit Frankierungsvermerken 

® Die Erflndung betrrfft ein Verfahren zum Versehen von 
Postsendungen mit Farnkierungsvermerken, wobei ein 
Kundensystem ein Drucken von Frankiervermerken auf 
Postsendungen steuert. 

ErfindungsgemaS wird das Verfahren so durchgefuhrt, 
dass in einer Datei erfasst wird, fur welch e durch einen 
Druckbefehl erzeugte Frankiervermerke keine Versen- 
dung einer Postsendung erfolgt. 
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Beschreibung 



[0001] Die Erfindung betrifft ein Verfahren zum Versehen 
von Postsendungen mit Frankierungsvermerken, wobei ein 
Kundensystem ein Drucken von Frankierungsvermerken 5 
auf Postsendungen steuert. 

[0002] Es ist bekannt, eine Frankierung durch Wiedergabe 
von digitalisierten Daten in verschlUsselter Form zu erzeu- 
gen. Dieses Verfahren wird wegen seiner bevorzugten 
Durchruhrung auf Personal Computer nachfplgend zusam- to 
menfassend kurz als PC-Frankierung bezeichnet. Die Be- 
zeichnung PC-Frankierung ist jedoch in keiner Weise ein- 
schrankend zu verstehen, da die Erzeugung von digitalen 
Daten an beliebigen Computern erfolgen kann und nicht auf 
Personal Computer beschrankt ist. Der Begriff "Computer" 15 
ist in keiner Weise einschrankend zu verstehen. Es handelt 
sich hierbei urn eine beliebige, zur Durchfuhrung von Be- 
rechnungen geeignete Einheit, beispielsweise eine Worksta- 
tion, einen Personal Computer, einen Micro Computer oder 
eine' zur Durchfuhrung von Berechnungen geeignete Schal- 20 
tung. Beispielsweise kann es sich auch urn einen personli- 
chen digitalen Assistenten (PDA) handeln. 
[0003] Eine Darstellung des von der Deutschen Post AG 
geplanten Frankierungsverf ahrens wurde der Offentlichkeit 
durch Veroffentlichung im Internet zuganglich gemacht 25 
[0004] Die vorgestellte PC-Frankierung enthalt mehrere 
Schritte, in denen ein Kunde einen Portobetrag ladt, aus dem 
Portobetrag Frankiervermerke erzeugt und auf einem Druk- 
ker ausdruckt. Der Ausdruck erf olgt in Form eines PC-Fran- 
kiervermerks, der einen maschinenlesbaren, zweidimensio- 30 
nalen Matrixcode enthalt, der zur Priifung der Giiltigkeit des 
Frankiervermerks herangezogen werden kann. 
[0005] Die mit dem PC-Frankiervermerk versehene Sen- 
dung kann bei dem Postdienstleister eingeUefert werden. 
Der Postdienstleister befordert die Sendung nach UberprU- 35 
fung der Giiltigkeit des Frankiervermerks. 
[0006] Um eine missbrauchliche Erzeugung von Frankier- 
vermerken zu verhindern, erfolgt eine \ferringerung des zur 
Verfugung stehenden Pdrtobetrages, sobald ein entsprechen- 
der Druckbefehl ausgelost wurde. 40 
[0007] Es besteht hierbei das Problem, dass nach Ausgabe 
des Druckbefehls, jedoch vor dem tatsachlichen Ausdruck 
des Frankierungsvermerks die Druckdaten verloren gehen 
konnten. Dies kann beispielsweise bei einem Systemab- 
sturz, einem Stromausfall, bei Papierstaus oder bei einem 45 
Ausdruck mit einer leeren Untenpatrone oder leerer Toner- 
kassette erfolgen. 

[0008] Der Erfindung liegt die Aufgabe zugrunde, em gat- 
tungsgemaBes Verfahren so weiterzuentwickeln, dass eine 
Belastung des Benutzers mit Gebuhrenbetragen uber nicht 50 
zur Versendung von Postsendungen verwendete Frankier- 
vermerke vermieden wird. 

[0009] ErfindungsgemaB wird diese Aufgabe dadurch ge- 
16st, dass in einer Datei erfasst wird, fur welche durch einen 
Druckbefehl erzeugte Frankiervermerke keine Versendung 55 
einer Postsendung erfolgt. 

[0010] Eine besonders einfache Erstattung von Gebuhren- 
betragen ist dadurch moglich, dass die Datei in ein Gebiih- 
renerstattungs formular ubemommen wird. 
[0011] ZweckmaBigerweise wird das Verfahren so durch- 60 
gefuhrt, dass die Datei und/oder das Gebuhrenerstattungs- 
formular an eine Erstattungsstelle Ubermittelt werden. 
[0012] Zur Erhohung der Datensicherheit ist es vorteil- 
haft, dass die Obermittlung an einen Server erfolgt, und dass 
das Kundensystem Identifikationsdaten iiber die nicht zu 65 
versendenden Sendungen an den Server ubermittelt, und 
dass der Server die Identifikationsdaten an wenigstens eine 
Oberpriifungsstelle weiterleitet 



[0013] Bei dem Server handelt es sich vorzugsweise um 
einen logischen Knoten eines Kommunikationsnetzwerkes, 
jedoch kann auch ein sonstiger mit Schnittstellen ausgestat- 
teter Computer, beziehungsweise eine sonstige Berecn- 
nungseinheit, als Server verwendet werden. 
[0014] Durch die Ubermittlung der Identifikationsdaten 
wird ein Missbrauch der automatisierten Erstattungsm6g- 
lichkeit vermieden. tJberprufungsstellen, die vorteilhafter- 
weise in Briefzentren angeordnet sind, die jedoch auch au- 
Berhalb der Briefzentren, beispielsweise an einer oder men- 
reren zentralen Stellen, zusammengefasst sind, konnen eine 
Sendung, die eingeUefert wurde, obwohl der zu ihrer Erzeu- 
gung verwendete Freimachungsvermerk von dem Kunden- 
system als nicht versandt markiert wurde, erkennen. 
[0015] Daher ist es moglich, dass die Datei, beziehungs- 
weise das Gebuhrenerstattungsformular unverschlttsselt m 
dem Kundensystem gespeichert werden. Eine missbrauchli- 
che Eingabe von Angaben uber nicht zur Versendung von 
Postsendungen verwendete Frankierwerte kann durch Aus- 
sortierung solcher Sendungen, zu denen die Bnefzentren 
eine Nachricht erhalten haben, dass sie als Nichtversand gel- 
ten, entdeckt werden. 

[0016] Auch eine manuelle Eingabe von Sendungsdaten 
kann von dem System zugelassen werden, da em Miss- 
brauch dieser manuellen EingabemogUchkeit vermieden 
werden kann. 

[0017] Beispielsweise kann der Benutzer des Kundensy- 
stems manuell Daten iiber nicht versandte Sendungen einge- 
ben. Eine derartige manueUe Eingabe kann wahlweise - bei- 
spielsweise durch Einfiihrung einer Verschliisselung - aus- 
geschlossen oder zugelassen werden. In dem Fall, dass erne 
manuelle Dateneingabe zugelassen ist, kann der Benutzer 
des Kundensystems beispielsweise einen mit einem Fran- 
kiervermerk gekennzeichneten Briefbogen vor emer Ver- 
sendung entnehmen, beispielsweise, wenn er nachtraghch 
beschlossen hat, den mit dem Frankiervermerk gekenn- 
zeichneten Briefbogen nicht zu versenden. 
[0018] Eine weitere Erhohung der Datensicherheit ist da- 
durch moglich, dass eine GebOhrenerstattung nur erfolgt, 
wenn dem Formular iiber die zu erstattenden Frankierver- 
merke Belege uber den Nichtversand oder den Nichtaus- 
druckbeigefugt werden. 

[0019] Diese Belege werden beispielsweise von dem by- 
stem automatisiert erstellt, beispielsweise durch ein Scan- 
nen der betreffenden Frankiervermerke oder durch Proto- 
kollierung von Systemdaten uber das Nichtausdrucken des 
Frankiervermerks. 

[0020] Eine elektronische Speicherung dieser Angaben ist 
besonders vorteilhaft, weU so eine autornatisierte Uberpru- 
rung ermoglicht wird. 

[0021] Vorzugsweise erfolgt der Versand elektromsch, 
beispielsweise durch eine Nachricht in einem Kommumka- 
tionssystem, eine e-mail oder durch Eingabe in erne Web- 

Seite. 3 ... 

[0022] Weitere Vorteile, Besonderheiten und zweckma- 
Bige Weiterbildungen der Erfindung ergeben sich aus den 
Unteranspriichen und der nachfolgenden Darstellung bevor- 
zugter Ausfuhrungsbeispiele anhand der Zeichnungen. 
[0023] Von den Zeichnungen zeigt 
[0024] Fig, 1 ein Kundensystem zur Erzeugung von Frei- 
machungsvermerken; 

[0025] Fig, 2 ein Gesamtsystem aus einem Kundensystem 
und einem externen Server und 

[0026] Fig. 3 eine Biidscriirmmaske, welche Informatio- 
nen iiber die nicht versandte Sendung enthalt. 
[0027] Das in Fig. 1 dargesteUte Kundensystem umfasst 
beispielsweise einen Personal Computer 1 mit einem Bild- 
schirm 2, einer Tastatur 3, einer Maus 4 und einem ange- 
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schlossenea Drucker 5. 

[0028] Das Kundensystem ist nicht von der dargestellten 
Hardware abhangig, sondern kann vielfaltige materielle 
Formen aufweisen, beispielsweise kann es in einem einzel- 
nen Speichermodul, beispielsweise einer Chip-Karte, ge- 5 
speichert sein. 

[0029] Bei dem in Fig. 2 dargestellten Gesamtsystem be- 
findet sich das Kundensystem in Kontakt mit einem exter- 
nen Server. Vorteilhafterweise wird der exteme Server durch 
ein Ladezentrum (WertUbertragungszentrum) gebildet 10 
[0030] Bei dem Server kann es sich urn einen beliebigen 
Computer handeln. Die Bezeichnung Server hat keine ein- 
schrankende Bedeutung, sondern verweist auf die zusatzli- 
che Mdglichkeit, Daten gezielt uber Schnittstellen auszutau- 
schen. 15 
[0031] Eine der Schnittstellen wird vorzugsweise durch 
das Kundensystem bereitgestellL Diese Schnittstelle, die 
nacbfolgend als Kundenschnitts telle bezeichnet wird, er- 
laubt eine Eingabe von Daten uber elektronisch erzeugte, je- 
doch nicht zum Vers and von Postwertzeichen benutzte, 20 
Frankiervermerke. 

[0032] Vorzugsweise enthalt das Kundensystem ein Si- 
cherungsmoduL, das eine falschungssichere Erzeugung von 
Frankiervermerken ermoglicht. 

[0033] Das Kundensystem ist vorzugsweise Teil eines Ge- 25 
samtsystems, das in alien Bestandteilen OberprUrungs- und 
Sicherheitsmechanismen enthalt. 

[0034] Ein weiterer Bestandteil des Ge samtsystems ist 
beispielsweise ein WertUbertragungszentrum. Die Eigen- 
schaften des WertUbertragungszentrums , die ein unberech- 30 
tigtes Laden von Abrechnungsbetragen verhindem, sind 
nicht dargestellt, da das Kundensystem mit einem beliebi- 
gen derart gesicherten WertUbertragungszentrum verbunden 
werden kann. 

35 

Sicherheitsarchitektur 

[0035] Fiir die PC-Frankierung ist eine grundsatzliche Si- 
cherheitsarchitektur vorgesehen, die die Vorteile verschie- 
dener, bestehender Ansatze verbindet und mit einfachen 40 
Mitteln ein hSheres MaB an Sicherheit bietet. 
[0036] Die Sicherheitsarchitektur umfasst vorzugsweise 
im Wesentlichen drei Einheiten, die in einer bevorzugten 
Anordnung in Fig. 2 dargestellt sind: 

45 

- Ein WertUbertragungszentrum, in dem die Identitat 
des Kunden und seines Kundensystems bekannt ist. 

- Ein Sicherungsmoduls das die als nicht durch den 
Kunden manipulierbare Hard-/Software die Sicherheit 
im Kundensystem gewfihrleistet (z. B. Dongle oder 50 
Chipkarte bei Offline-Ldsungen bzw. gleichwertige 
Server bei Online-Lifcungen). 

- Ein Briefzentrum, in dem die Gtiltigkeit der Freima- 
chungsvermerke geprtift, beziehungsweise Manipula- 
tionen am Wertbetrag sowie am Freimachungsvermerk 55 
erkannt werden. 

[0037] Die einzelnen Prozessschritte, die im WertUbertra- 
gungszentrum, Kundensystem und Briefzentrum erfolgen, 
sollen im Folgenden in Form einer Prinzipskizze dargestellt 60 
werden. Der genaue technische Kommunikationsprozess 
weicht hingegen von dieser prinzipiellen DarsteUung ab 
(z. B. mehrere Kommunikarionsschritte zur Erlangung einer 
hier dargestellten Obertragung), Insbesondere wird in dieser 
DarsteUung eine vertrauliche und integere Kommunikation 65 
zwischen identifizierten und authentisierten Kommunikati- 
onspartnem vorausgesetzt 
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Kundensystem 

1. Innerhalb des Sicherungsmoduls wird eine Zufalls- 
zahl erzeugt und zwischengespeichert, die dem Kun- 
den nicht zur Kenntnis gelangt 

2. Innerhalb des Sicherungsmoduls wird die Zufalls- 
zahl zusammen mit einer eindeutigen Identifikations- 
nummer (Sicherungsmodul-ID) des Kundensystems, 
beziehungsweise des Sicherungsmoduls, derart kombi- 
niert und verschlUsselt, dass nur das WertUbertragungs- 
zentrum in der Lage ist, eine EntschlUsselung durchzu- 
fiihren. 

In einer besonders bevorzugten AusfUhrungsform wird 
die Zufallszahl zusammen mit einem zuvor vom Wert- 
Ubertragungszentrum ausgegebenen SitzungsschlOssel 
und den Nutzdaten der Kommunikation (Beantragung 
der Einrichtung eines Abrechnungsbetrages) mit dem 
ofTentlichen Schliissel des WertObertragungszentrums 
verschlasselt und mit dem privaten SchlUssel des Si- 
cherungsmoduls digital signiert. Hierdurch wird ver- 
mieden, dass die Anfrage bei jedem Laden eines Ab- 
rechnungsbetrages dieselbe Gestalt hat und zum miss- 
brauchlichen Laden von Abrechnungsbetragen heran- 
gezogen werden kann (Replay- Attack). 

3. Die kryptographisch behandelten Inform ationen aus 
dem Kundensystem werden an das WertUbertragungs- 
zentrum im Rahmen des Ladens eines Abrechnungsbe- 
trages ubertragen. Weder der Kunde noch Dritte kon- 
nen diese Informationen entschlusseln. 

[0038] In der Praxis wird die asyrnmetrische Verschlusse- 
lung mit dem 6fTentlichen SchlUssel des Kommunikations- 
partners (WertUbertragungszentruni, beziehungsweise Si- 
cherungsmodul) angewandt 

[0039] Bei der Mdglichkeit eines vorhergehenden Austau- 
sches von SchlUsseln kommt eine symmetrische Verschlus- 
selung gleichfalls in Betracht 

WertUbertragungszentrum 

4. Im WertUbertragungszentrum wird unter anderem 
die Zufallszahl, die der Identifikationsnummer des Si- 
cherungsmoduls (Sicherungsmodul-ID) zugeordnet 
werden kann, entschlUsselt. 

5. Durch Anfrage in der Datenbank-Freimachung wird 
die Sicherungsmodul-ID einen Kunden der Deutschen 
Post zugeordnet 

6. Im WertUbertragungszentrum wird eine Ladevor- 
gangsidentifikationsnummer gebildet, die Tfeile der Si- 
cherungsmodul-ID, die Hdhe eines Abrechnungsbetra- 
ges etc. beinhaltet. Die entschlUsselte Zufallszahl wird 
zusammen mit der Ladevorgangsidentifikationsnum- 
mer derart verschlUsselt, dass nur das Briefzentrum in 
der Lage ist, eine EntschlUsselung durchzufUhren. Der 
Kunde ist hingegen nicht in der Lage, diese Informatio- 
nen zu entschlusseln. (Die Ladevorgangsidendfikati- 
onsnummer wird zusatzlich in einer vom Kundensy- 
stem entschltisselbaren Form verschlUsselt). In der Pra- 
xis erfolgt die VerschlUsselung mit einem symmetri- 
se ben SchlUssel nach TDES, der ausschJieSlich im 
WertUbertragungszentrum sowie in den Brierzentren 
vorhanden ist Die Verwendung der symmetrischen 
VerschlUsselung an dieser S telle ist begriindet durch 
die Forderung nach schnellen Entschlusselungsverfah- 
ren durch die Produktion. 

7. Die verschlUsselte Zufallszahl und die verschlus- 
selte I^devorgangsidendrlkationsnummer werden an 
das Kundensystem ubertragen. Weder der Kunde noch 
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Dritte konnen diese Informationen entschliisseln. 
Durch die alleinige Verwaltung des posteigenen, vor- 
zugsweise symmetrischen Schlussels im Wertubertra- 
gungszentrum und in den Briefzentren kann der 
Schlussel jederzeit ausgetauscht und Schlussellangen 5 
konnen bei Bedarf geandert werden. Hierdurch wird 
auf einfache Weise eine hohe Manipulationssicherheit 
gewahrleistet. In der Praxis wird die Ladevorgangs- 
identifikationsnummer dem Kunden zusatzlich in nicht 
verschlusselter Form zur Verfttgung gestellt 10 

Kundensystera 

8. Der Kunde erfasst im Rahmen der Erstellung eines 
Freimachungsvermerks die sendungsspezifischen In- 15 
fonnationen oder Sendungsdaten (z.B. Porto, Sen- 
dungsart etc.), die in das Sicherungsmodul Ubertragen 
werden. . 

9. Innerhalb des Sicherungsmoduls wird ein Hasn- 
Wert unter anderem aus folgenden Informationen ge- 20 

bildet f _ _ 

- Ausziigen aus den Sendungsdaten (z. B. Porto, 
Sendungsart, Datum, PLZ etc.), 

- der zwischengespeicherten Zufallszahl (die im 
Rahmen des Ladens eines Abrechnungsbetrages 25 
erzeugt wurde) 

- und gegebenenfalls der Ladevorgangsidentin- 
kationsnummer. 

10. In den Freimachungsvermerk werden unter ande- 
rem folgende Daten ubernommen: 30 

- Auszuge aus den Sendungsdaten im Klartext 
(z. B . Porto, Sendungsart, Datum, PLZ etc.), 

_ di e verschlusselte Zufallszahl und die ver- 
schlusselte Ladevorgangsidentifikationsnummer 
aus dem WertUbertragungszentrum und 35 

- der innerhalb des Sicherungsmoduls gebildete 
Hash-Wert aus Sendungsdaten, Zufallszahl und 
Ladevorgangsidentifikationsnummen 



Briefzentrurn 
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11. Im Briefzentrurn werden zunachst die Sendungs- 
daten gepruft Stimmen die in den Freimachungsver- 
merk Ubernommenen Sendungsdaten nicht mit der 
Sendung uberein, so liegen entweder eine Falschfran- 45 
kierung, eine Phantasie- oder eine Schmiermarke vor. 
Die Sendung ist der Entgeltsicherung zuzufiihren, 

12. Im Briefzentrurn werden die Zufallszahl und die 
Ladevorgangsidentifikationsnummer, die im Rahmen 
des Abrechnungsbetrages an das Kundensystem ttber- 50 
geben wurden, entschlusselt Hierzu ist im Briefzen- 
trurn nur ein einziger (symmetrischer) SchlUssel erfor- 
derlich. Bei Verwendung von individueUen SchlUsseln 
ware jedoch statt dessen eine Vielzahl von SchlUsseln 
einzusetzen. 55 

13. Im Briefzentrurn wird nach demselben Verfanren 
wie in dem Sicherungsmodul ein Hash-Wert aus fol- 
genden Informationen gebildet: 

- Auszugen aus den Sendungsdaten, 

- der entschliisselten Zufallszahl 60 

- der entschliisselten Ladevorgangsidentifikan- 
onsnummer. 

14. Im Briefzentrurn werden der selbstgebildete und 
der ubertragene Hash-Wert verglichen. Stimmen beide 
uberein, so wurde der ubertragene Hash-Wert mit der- 65 
selben Zufallszahl gebildet, die auch dem WertUbertra- 
gungszentrum im Rahmen des Ladens des Abrech- 
nungsbetrages ubermittelt wurde. Demnach handelt es 



sich sowohl urn einen echten, giiltigen Abrechnungsbe- 
trag als auch um Sendungsdaten, die dem Sicherungs- 
modul bekanntgegeben wurden (Guitigkeitspriifung). 
Vom Aufwand her entsprechen die Entschliisselung, 
die Bildung eines Hash-Wertes und der Vergleich von 
zwei Hash-Werten theoretisch dem einer Signaturpru- 
fung Aufgrund der symmetrischen Entschliisselung 
entsteht jedoch gegenuber der Signaturprufung em 
zeitlicher VorteiL 

15. Ober eine Gegenpriifung im Hintergrundsystem 
konnen im Nachhinein Abweichungen zwischen gela- 
denen Abrechnungsbetragen und Frankierbetragen er- 
mittelt werden (Oberprufung hinsichuich Sendungsdu- 
bletten, Saldenbildung im Hintergrundsystem). 

[0040] Die dargestellte grundsatzliche Sicherheitsarchi- 
tektur umfasst nicht die separat abgesicherte Verwaltung der 
Abrechnungsbetrage (Borsenfunktion), die Absicherung der 
Kommunikation zwischen Kundensystem und dem Wert- 
Ubertragungszentrum, die gegenseitige Identifizierung von 
Kundensystem und WertUbertragungszentrum und die In- 
itialisierung zur sicheren Betriebsaufnahme eines neuen 
Kundensystems. 

Angriffe auf die Sicherheitsarchitektur 

[0041] Die beschriebene Sicherheitsarchitektur ist sicher 
gegenuber Angriffen durch Folgendes: 

- Dritte konnen die im Internet mitgeschnittene (ko- 
pierte) erfolgreiche Kommunikation zwischen einem 
Kundensystem und dem WertUbertragungszentrum 
nicht zu betriigerischen Zwecken nutzen (Replay-At- 
tacke). 

- Dritte oder Kunden konnen gegenuber dem Wert- 
Ubertragungszentrum nicht die Verwendung eines ord- 
nungsgemafien Kundensystems durch ein manipulier- 
tes Kundensystem vortauschen. Spiegeit ein Dritter 
oder ein Kunde die Obertragung einer Zufallszahl und 
einer Safe-Box-ID vor, die nicht innerhalb ernes Siche- 
rungsmoduls erzeugt wurden, sondem ihm bekannt 
sind, so scheitert das Laden der Abrechnungsbetrage 
entweder an der separat durchgefuhrten IdentifikaUon 
des rechtmaBigen Kunden durch Benutzername und 
Kennwort oder an der Kenntnis des privaten Schlussels 
des Sicherungsmoduls, der dem Kunden unter kemen 
Umstanden bekannt sein darf. (Deshalb ist der Initiali- 
sierungsprozess zur Schliisselerzeugung in dem Siche- 
rungsmodul und die Zertifizierung des offentlichen 
Schlussels durch den Kundensystemanbieter geeignet 
durchzufuhren.) 

- Dritte oder Kunden k6nnen nicht mit einem vorge- 
tauschten WertUbertragungszentrum giiltige Abrech- 
nungsbetrage in ein Kundensystem laden. Spiegeit em 
Dritter oder ein Kunde die Funktionalitat des Wert- 
ubertragungszentrums vor, so gelingt es diesem vorge- 
spiegelten WertUbertragungszentrum nicht, eine ver- 
schlusselte Ladevorgangsidentifikationsnummer zu er- 
zeugen, die im Briefzentrurn ordnungsgemaB ent- 
schlusselt werden kann. Zudem kann das Zertifikat des 
ofFentlichen SchlUssels des WertUbertragungszentrums 
nicht gefalscht werden. 

- Kunden konnen nicht unter Umgehung des Wert- 
Ubertragungszentrums einen Freimachungsvermerk er- 
stellen, dessen Ladevorgangsidentifikarionsnunimer 
derart verschliisselt ist, dass sie im Briefzentrurn als 
giiltig entschlusselt werden konnte. 
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[0042] Zur Erhohung der Dafcensicherheit, insbesondere 
beim Suchen, ist eine unbegrenzte Anzahl von Zufallszah- 
ien zur Hash-Wert-Bildung heranzuziehen. 

- Die Lange der Zufallszahl ist daher moglichst groB 5 
und betrSgt vorzugsweise mindestens 12 byte (96 bit). 
Die eingesetzte Sicherheitsarchitektur ist durch die 
MSglichkeit, kundenspezifische SchlUssel einzusetzen, 
ohne dass es notwendig ist, in zur Entschlusselung be- 
stimmten Stellen, insbesondere Briefzentren, Schliissel 10 
bereit zu halten, den bekannten Verfahren iiberlegen. 
Diese vorteilhafte Ausgestaltung ist ein wesentlicher 
Unterschied zu den bekannten Systemen nach dem In- 
formation-Based Indicia Program (TBTP). 



Vorteile der Sicherheitsarchitektur 

[0043] Folgende Merkmale zeichnen die beschriebene Si- 
cherheitsarchitektur gegeniiber dem bekannten IBIP-Modell 
des US Postal Services der USA aus: 

- Die eigentliche Sicherheit wird in den Systemen der 
Deutschen Post (Wertubertragungszentrum, Briefzen- 
trum, Entgeltsicherungssystem) gewahrleistet und liest 
damit vollstandig im Einflussbereich der Deutschen 
Post 

- Es werden im Freimachungsvermerk keine Signatu- 
re^ sondern technisch gleichwertige und ebenso si- 
chere (symmetrisch) verschKisselte Daten und Hash- 
Werte angewandt Hierzu wild im einfachsten Falle nur 
ein symmetrischer SchlUssel verwendet, der alleine im 
Einflussbereich der Deutschen Post liegt und somit 
leicht austauschbar ist 

- Im Briefzentrum ist eine Oberprtifung aller Freima- 
chungsmerkmale (nicht bloB stichprobenweise) mog- 
lich. 

- Das Sicherheitskonzept basiert auf einem einfachen, 
in sich geschlossenen Prufkreislauf, der in Einklang 
mit einem hierauf angepassten Hinteigrundsystem 
steht 

- Das System macht selbst ansonsten kaum feststell- 
bare Dubletten erkennbar. 

- Ungtiltige Phantasiemarken sind mit diesem Verfah- 
ren mit hoher Genauigkeit erkennbar, 

- Neben der Plausibilitatspriifung kann bei alien Frei- 
machungsvermerken eine Oberprufung der Ladevor- 
gangsidentifikationsnummer in Echtzeit erfolgen. 
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Sendungsarten 

[0044] Mit der PC-FranJderung kSnnen alle Produkte des 
Versendungsdienstleisters wie beispielsweise "Brief natio- 
nal" (einschlieBlich Zusatzleistungen) und "Direkt Marke- 55 
ting national" gemaB einer vorhergehenden Festlegung 
durch den Versendungsdienstleister freigemacht werden. 
[0045] Ein Einsatz fur andere Versandformen wie Paket- 
und Expresssendungen ist gleichermaBen moglich. 
[0046] Der Gebuhrenbetrag, der maximal Uber das Wert- 60 
Ubertragungszentrum geladen werden kann, wird auf einen 
geeigneten Betrag festgelegt Der Betrag kann je nach An- 
foiderung des Kunden und dem Sicherheitsbedurfhis des 
Postdienstleisters gewahlt werden. Wahrend fur einen Ein- 
satz im Privatkundenbereich ein Gebiihrenbetrag von maxi- 65 
mal mehreren hundert DM besonders zweckmaBig ist, wer- 
den fiir Einsatze bei GroBkunden wesentlich habere Gebiih- 
renbetrage vorgesehen. Ein Betrag in der GroBenordnung 
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von etwa DM 500,- eignet sich sowohl fur anspruchsvolle 
Privathaushalte als auch fur Freiberufler und kleinere Unter- 
nehmen. Der in der Borse gespeicherte Wert sollte vorzugs- 
weise den doppelten Wertbetrag systemtechnisch nicht 
uberschreiten. 

Falschfrankierte Sendungen 

[0047] Falschfrankierte und nicht zur Beforderung geeig- 
nete, bereits bedruckte Schreiben, Umschlage etc. mit einem 
gultigen Freimachungsvermerk werden dem Kunden gutge- 
schrieben. 

[0048] Durch geeignete MaBnahmen, beispielsweise 
durch eine Stempelung von in dem Briefzentrum eingehen- 
den Sendungen, ist es moglich festzustellen, ob eine Sen- 
dung bereits befoidert wuide. Hierdurch wild verhindert, 
dass Kunden bereits befbrderte Sendungen vom Empfanger 
zurtick erhalten und diese zur Gutschrift bei dem Postdients- 
betreiber, beispielsweise der Deutschen Post AG, einrei- 
chen. 

[0049] Die Rucksendung an eine zentrale Stelle des Ver- 
sendungsdienstleisters, beispielsweise der Deutschen Post, 
ermdglicht ein hohes MaB an Entgeltsicherung durch Ab- 
gleich der Daten mit Abrechnungsbetragen und die Kennt- 
nis uber die haufigsten ZusendungsgrOnde. Hierdurch be- 
steht gegebenenfalls die Mdglichkeit der Nachsteuerung 
durch Anderung der EinfUhrungsvoraussetzungen mit dem 
Ziel der Reduzierung der Rttcksendequote. 

Grtiltigkeit von Freimachungswerten 

[0050] Vom Kunden gekaufte Abrechnungswerte sind aus 
Grimden der Entgeltsicherung beispielsweise nur 3 Monate 
gttltig. Ein entsprechender Hinweis ist in der Vereinbarung 
mit dem Kunden aufzunehmen. Kdnnen Frankierwerte nicht 
innerhalb von 3 Monaten aufgebraucht werden, muss vom 
Kundensystem die Kontaktierung des WertUbertragungs- 
zentrums zu einer erneuten Herstellung von Freimachungs- 
vermerken aufgenommen werden. Bei dieser Kontaktierung 
wird, wie beim ordentlichen Laden von Abrechnungsbetra- 
gen, der Restbetrag eines alten Abrechnungsbetrages einem 
neu ausgegebenen Abrechnungsbetrag zugeschlagen und 
unter einer neuen Ladevorgangsidentinkationsnummer dem 
Kunden zur VerfUgung gestellt 

Besondere betriebliche Behandlung 

[0051] GrundSatzlich k6nnen die Freimachungsvermerke 
eine beliebige Form aufweisen, in der die in ihnen enthalte- 
nen Informations wiedergegeben werden kdnnen. Es ist je- 
doch zweckmaBig, die Freimachungsvermerke. so zu gestal- 
ten, dass sie wenigstens bereichsweise die Form von Barco- 
des aufweisen. Bei der dargestellten Losung des 2D-Barco- 
des und der daraus resultierenden Entgeltsicherung sind fol- 
gende Besonderheiten in der Produktion zu berCicksichtigen: 
PC-frankierte Sendungen kdnnen Uber alle Einlieferungs- 
moglichkeiten, auch liber Briefkasten, eingeliefert werden. 
[0052] Durch die Festlegung von Zulassungsvorausset- 
zungen fur Hersteller von fur die Schnittstellen relevanten 
Bestandteilen des Frankierungssystems, insbesondere fur 
Hersteller und/oder Betreiber von Kundensystemen, wird 
die Einhaltung der dargestellten SicherheitsmaBnahmen 
weiter erhoht 
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Obergeordnete Nonnen, Standards und Vorgaben 

International Postage Meter Approval Requirements (IP- 
MAR) 

[0053] Vorzugsweise finden die Vorschriflen der aktueUen 
Fassung des Dokuments International Postage Meter Appro- 
val Requirements (IPMAR), UPU S-30, ebenso Anwendung 
wie aUe Normen und Standards, auf die in diesem Doku- 
ment verwiesen wird. Die weitestmogliche Einhaltung aller to 
dort genannten "Requirements" ist fur das Kundensystem 
sinnvoll. 

Digital Postage Marks: Applications, Security & Design 

[0054] Grundsatzlich finden die Vorschriflen der aktueUen 
Fassung des Dokuments Digital Postage Marks: Applicati- 
ons, Security & Design (UPU: Technical Standards Manual) 
ebenso Anwendung wie alle Normen und Standards, auf die 
in diesem Dokument verwiesen wird. Die Einhaltung des 20 
"normativen" Inhalts so wie die weitestgehende Beachtung 
des "infonnativen" Inhalts dieses Dokuments ist fur das 
Kundensystem sinnvoll. 

[0055] Vorzugsweise finden fiber die tibergeordneten Nor- 
men und Standards hinaus Regelungen und Bestimmungen 25 
des jeweiligen Versendungsdiensdeistungsunternehmens 
gleichfalls Anwendung. 

[0056] Durch eine Zulassung lediglich solcher bysteme, 
die alle gesetzhchen Bestimmungen ebenso erfUllen wie alle 
Normen und Standards des Versendungsdienstleisters, wer- 30 
den Datensicherheit und Zuverlassigkeit des Systems 
ebenso gewahrieistet wie seine Benutzerfreundlichkeit 

Weitere Gesetze, Verordnungen, Richtlinien, Vorschriften, 

Nonnen und Standards 35 

[0057] Grundsatzlich finden alle Gesetze, Verordnungen, 
Richtlinien, Vorschriflen, Normen und Standards derjeweils 
gfiltigen Fassung Anwendung, die zur Entwicklung und 
zum Betrieb eines technischen Kundensystems in der kon- 40 
kreten Auspragung zu beachten sind. 



Anmeidung zum Laden eines Abrechnungsbetrages (erste 
Obertragung von dem Sicherungsmodul zum Wertubertra- 
gungszentrum) 

[0062] Im Rahmen der ersten Obertragung von dem Si- 
cherungsmodul zum Wertubertragungszentrum werden das 
Zertifikat des Sicherungsmoduls sowie ein Aktionsindikator 
A unverschlusselt und unsigniert ubertragen. 

Ruckmeldung zur Anmeidung (erste Antwort vom Wert- 
ubertragungszentrum zum Sicherungsmodul) 

[0063] Die Ruckmeldung des Wertubertragungszentrums 
enthalt das eigene Zertifikat des Wertubertragungszentrums, 
einen verschlusselten Sitzungsschlussel und die digitale Si- 
gnatur des verschlusselten SitzungsschlQssels. 

Zweite Obertragung von dem Sicherungsmodul zum Wert- 
ubertragungszentrum 

[0064] Im Rahmen dieser Obertragung sendet das Siche- 
rungsmodul den neu verschlusselten Sitzungsschlussel, die 
verschlUsselte Zufallszahl und den verschlusselten Daten- 
satz mit Nutzdaten (Hone eines vorab geladenen Abrech- 
nungsbetrages, Restwert des aktueUen Abrechnungsbetra- 
ges, aufeteigendes Register aller Abrechnungsbetrage, die 
letzte Ladevorgangsidentifikationsnummer - (alles asym- 
metrisch mit dem effentlichen Schlussel des Wertubertra- 
gungszentrums verschlOsselt). Gleichzeitig sendet das Si- 
cherungsmodul die digitale Signatur dieser verschlusselten 
Daten. Im gleichen Zeitraum kann das Kundensystem wei- 
tere nicht verschlusselte und nicht signierte Nutzungsproto- 
koUe oderNutzungsprofile an das Wertubertragungszentrum 
senden. 

[0065] Es ist zweckmassig, dass die Nutzungsdaten in ein 
NutzungsprotokoU eingetragen werden und dass das Nut- 
zungsprotokoll und/oder die darin vermerkten Emtrage digi- 
tal signiert werden. 



Systemtechnische Interoperabilital 

[0058] Die systemtechnische InteroperabiUtat bezieht sich 
auf die Funktionsfahigkeit der SchnittsteUen des Kundensy- 
stems, beziehungsweise auf die Einhaltung der in den 
Schnittstellenbeschreibungen spezifizierten Vorgaben. 

SchnittsteUe, Abrechnungsbetrag, Kornmunikationsweg, 
Protokolle 

[0059] Die Kommunikation fiber die SchnittsteUe Abrech- 
nungsbetrag erfolgt vorzugsweise fiber das Sffenthche Inter- 
net auf der Basis der Protokolle TCP/IP und HTTP; Der Da- 
tenaustausch kann optional per HTTP fiber SSL verschlus- 
seU werden (https). Hier dargesteUt ist der SoU-Prozess ei- 
ner erforderiichen ttbertragung. 

[0060] Der Datenaustausch erfolgt vorzugsweise, sofem 
mdgUch, fiber HTML- und XML-kodierte Dateien. Die text- 
Uchen und graphischen Inhalte der HTML-Seiten sind im 
Kundensystem darzusteUen. 

[0061] Es erscheint empfehlenswert, bei den Kommumka- 
tionsseiten auf eine bewahrte HTML- Version zuruckzugrei- 
fen und auf die Verwendung von Frames, eingebetteten Ob- 
jekten (Applets, ActiveX etc.) und ggf. animierten GIFs zu 
verzichten. 



Zweite Antwort vom Wertubertragungszentrum zu dem Si- 
cherungsmodul 

[0066] Das Wertubertragungszentrum ubermittelt die 
symmetrisch verschlUsselte Zufallszahl und die symme- 
45 trisch verschlUsselte Ladevorgangsidentifikationsnummer 
an das Sicherungsmodul. AuBerdem ubermittelt das Wert- 
ubertragungszentrum die mit dem offendichen Schlussel des 
Sicherungsmoduls ersteUte I^vorgangsidentifikations- 
nummer, Login-Informationen fur das Sicherungsmodul so- 
50 wie einen neuen Sitzungsschlussel an das Sicherungsmodul. 
Die gesamten tibertragenen Daten werden zudem digital si- 
gniert. 

Dritte Obertragung von dem Sicherungsmodul zum Wert- 
55 abertragungszentrum 

[0067] Im Rahmen der dritten Obertragung werden von 
dem Sicherungsmodul der neue Sitzungsschlussel die neue 
I^vorgangsidentifikationsnummer zusammen nut Nutz- 
60 daten zur Bestatigung der erfolgreichen Kommunikation al- 
lesamt in verschlfisselter und digital signierter Form an das 
Wertubertragungszentrum Ubertragen. 

Dritte Antwort vom Wertfibertragungszentrum an das Siche- 
g5 rungsmodul 

[0068] Bei der dritten Antwort quittiert das Wertubertra- 
gungszentrum den Erfolg der ttbertragung ohne Anwen- 
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dung kryptographischer Verfahren. 

Deinstallation 

[0069] Die M6glichkeit einer Deinstallation des Kunden- 
systems muss durch den Kunden moglich sein. 
[0070] Die detaillierte, technische Beschreibung der 
Schnittstelle Abrechnungsbetrag erfolgt mit Konzeption des 
posteigenen WertUberti^ungszentrums. 

Nutzungsprotokoll und Nutzungsprofil 
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Spezifikation der physikalischen Auspragung auf Pa- 
pier(Layout) 

[0078] Der Freimachungsvermerk ist vorteilhafterweise 
im Anschriftenfeld linksbundig oberhalb der Anschrift auf 
der Sendung angebracht. 

[0079] Das Anschriftenfeld wird in der jeweils giiltigen 
Fassung der Normen des Versendungsdienstleisters spezifi- 
ziert So werden insbesondere folgende Freimachungen er- 
io mogiicht: 



[0071] Im Kundensystem ist im Rahmen jeder Erzeugung 
eines Freimachungsvermerks ein Protokolleintrag zu erzeu- 
gen, der alle Angaben des jeweiligen Freimachungsver- 15 
merks - verseben mit einer digitalen Signatur des Siche- 
rungsmoduls -enthalten muss. Weiterhin muss im Protokoll 
jeder Fehlerstatus des Sicherungsmoduls derart verzeichnet 
werden, dass die manuelle Loschung dieses Eintrags bei der 
Oberpriifung bemerkt wird. 20 
[0072] Das Nutzungsprofil enthalt eine aufbereitete Zu- 
sammenfassung der Nutzungsdaten seit der letzten Kommu- 
nikation mit dem Weitubertragungszentrum. 
[0073] Ist ein Kundensystem in eine beim Kunden befind- 
liche und eine zentral (z. B . im Internet befindliche) Kompo- 25 
nente aufgeteilt, so muss das Nutzungsprofil in der zentralen 
Komponente gefiihrt werden. 

Schnittstelle, Freimachungsvermerk, Bestandteile und Aus- 

pragungen 30 

[0074] Das Kundensystem muss in der Lage sein, PC- 
Freimachungsyermerke zu erzeugen, die exakt den \forga- 
ben der Deutschen Post, beziehungsweise dem Rahmen der 
gangigen CEN- und UPU-Standards entsprechen. 35 
[0075] , FC-Freimachungsvermerke bestehen vorzugs- 
weise aus folgenden drei Elementen: 

- Einem 2-dimensionalen Strichcode, Barcode oder 
Matrixcode, in dem sendungsspezifische Informatio- 40 
nen in maschinenlesbarer Form dargestellt sind. 
(Zweck: Automatisierung in der Produktion und Ent- 
geltsicherung der Deutschen Post) 

- Text in Klarschrift, der wichtige Teile der Strich- 
code-Information in lesbarer Form wiedergibt. 45 
(Zweck: Kontrollmoglichkeit fiir den Kunden sowie in 
der Produktion und Entgeltsicherung der Deutschen 
Post.) 

- Eine den Versendungsdienstleister, beispielsweise 
die Deutsche Post, kennzeichnende Marke wie bei- 50 
spielsweise ein Posthorn. 



Spezifikation des Dateninhaltes 

[0076] ZweckmaBigerweise enthalten Strichcode und 
Klartext des PC-Freimachungsvermerks folgende Informa- 
tionen: 

Tabelle 

Inhalt des PC-Freimachungsvermerks 

[0077] Beschrieben wird hier nur der Inhalt des Freima- 
chungsvermerks. Die Vorschriften des Versendungsdienst- 
leisters fur den Inhalt der Adiessangaben beh alien unveran- 
dert ihre GUltigkeiL 



- Aufdruck auf den Briefumschlag, 

- Aufdruck auf Klebeetiketten oder 

- Verwendung von Fensterbriefumschlagen derart, 
dass der Aufdruck auf den Brief durch das Fenster voll- 
standig sichtbar ist 

[0080] Fiir die einzelnen Elemente des Freimachungsver- 
merks gilt vorzugsweise: 

- Verwendet wird zunachst der Strichcode vbm Type 
Data Matrix, dessen einzelne Bildpunkte eine Kanten- 
lange von mindestens 0,5 Millimeter aufweisen sollten. 
Im Hinblick auf lesetechnische \braussetzungen sollte 
ein 2D-Barcode in Form der Data Matrix mit einer mi- 
nimalen PixelgroBe von 0^ mm bevorzugt zur Anwen- 
dung kommen. Eine ggf. zweckmaBige Option besteht 
darin, die Pixel-GroBe auf 0,3 mm zu reduzieren. 
Bei einer DarstellungsgroBe yon 0^ mm pro Pixel er- 
gibt sich eine Kantenlange des gesamten Barcodes von 
ca. 18 bis 20 mm, wenn alle Da ten wie beschrieben 
eingehen. Falls es gelingt, Barcodes mit einer Pixel- 
groBe von 0,3 mm in der ALM zu lesen, lasst sich die 
Kantenlange auf ca. 13 mm reduzieren. 
Eine nachtragliche Erweiterung der Spezifikationen 
auf die Verwendung eines anderen Barcodes (z. B. Az- 
tec) bei gleichen Dateninhalten ist m6glich. 

[0081] Eine bevorzugte AusfUhrungsform des Layouts 
und der Positionierung der einzelnen Elemente des Freima- 
chungsvermerks ist nachfolgend in Fig. 5 beispielhaft dar- 
gestellt 

[0082] Die "kritischste" GroBe ist die Hone des dargestell- 
ten Fensters eines Fensterbrierumschlags mit einer GroBe 
von 45 mm x 90 mm. Hier dargestellt wird ein DataMatrix- 
Code mit einer Kantenlange von ca. 13 mm, der bei Verwen- 
dung der vorgeschlagenen D ate nf elder nur bei einer Pixel- 
aufldsung von 0,3 mm mdgUch ist. Ein Code mit einer Kan- 
tenlange von 24 mm lasst beztiglich der zur Verfiigung ste- 
henden Hone keinen ausreichenden Raum fiir Angaben zur 
Anschrift 

Druckqualitat und Lesbarkeit 



55 [0083] Verantwortlich fur den einwandfreien Aufdruck 
des Freimachungsvermerks sind der Hers teller des Kunden- 
systems im Rahmendes Zulassungsverfahrens sowie der 
Kunde im spateren Betrieb. Hierzu ist der Kunde durch ge- 
eignete Hinweise in einem Benutzerhandbuch und einem 

60 Hilfesystem hinzuweisen. Dies gilt insbesondere fiir das 
saubere Haften von Etiketten und das Verhindern des Ver- 
rutschens (von leilen) des Freimachungsvermerks auBer- 
halb des sichtbaren Bereichs von Fensterbriefumschlagen. 
[0084] Die maschinelle Lesbarkeit von Freimachungsver- 

65 merken stent in Abhangigkeit von der verwendeten Druck- 
aufldsung und vom Kontrast Sollen statt schwarz auch an- 
dere Far ben zur Anwendung kommen, so ist mit einer gerin- 
geren Leserate zu rechnen. Es ist davon auszugehen, dass 
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die geforderte Leserate bei eiaer im Drucker verwendeten 
Auflosung von 300 dpi ("dots der inch") bei hohem Druck- 
Kontrast gewahrleistet werden kann; das entspncht etwa 
120 Bildpunkten pro Zentimeter. ^ 

Testdrucke 

[0085] Das Kundensystem muss in der Lage sein, Freima- 
chungsvermerke zu produzieren, die in Auspragung und 
GroBe gultigen Freimachungsvermerken entsprechen, je- u> 
doch nicht fur den Versand bestimmt sind, sondern fur Kon- 
troUausdrucke und der Drucker-Feinjustierung dienen. 
[0086] Vorzugsweise ist das Kundensystem so gestaltet, 
dass die Testdrucke sich in einer fur das Versendungsunter- 
nehmen erkennbaren Weise von tatsachHchen Freima- 
chungsvermerken unterscheiden. Dazu wird beispiekweise 
in der Mitte des Freimachungsvermerks die Aufscnnft 
"MUSTER - nicht versenden" angebracht Mindestens zwei 
Drittel des Barcodes, sollen durch die Aufschrift oder ander- 
weitig unkenntlich gemacht werden. 
[0087] Neben echten (bezahlten) Freimachungsvermer- 
ken diirfen auBer gesondert gekennzeichneten Testdrucken 
keine Nulldrucke hergestellt werden. 



Anforderungen an das Kundensystem 
Basis-System 
"Oberblick und Funktionalitat 
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ro088] Das Basis-System dient als Bindeglied zwischen 
den anderen Komponenten der PC-Frankierung, namentkch 
dem Wertubertragungszentrum, des Sicherungsmoduls, dem 
Drucker und dem Kunden. Es besteht aus einem oder men- 
reren Computersystemen, zum Beispiel PCs, die ggf. auch 35 
durch ein Netzwerk miteinander verbunden sein konnen. 
[0089] Die Erfindung ermdglicht es, bei verschiedenen 
Schritten der Erzeugung von Freimachungsvermerken den 
weiteren \brgang der Berechnung eines Gebuhrenbetrages 
zu unterbrechen. 
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an eine Webseite erfolgt. 



Hierzu 3 Seite(n) Zeichnungen 
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1 Verfahren zum Versehen von Postsendungen nut 
Frankierungsvermerken, wobei ein Kundensystem em 45 
Drucken von Frankierungsvermerken auf Postsendun- 
gen steuert, dadurch gekennzeichnet, dass m euier 
Datei erfasst wird, fur welche durch einen Druckbefenl 
erzeugte Frankiervermerke keine Versendung einer 
Postsendung erfolgt . 
2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, dass die Informationen der Datei in ein Gebuhren- 
erstattungsformular Ubemommen werden. 
3 Verfahren nach einem oder beiden der Anspruche 1 
oder 2, dadurch gekennzeichnet, dass die Datei und/ 55 
oder das Gebuhrenerstattungsformular an eine Erstat- 
tungsstelle Ubermittelt werden. 

4. Verfahren nach Anspruch 3, dadurch gekennzeich- 
net, dass die Obermittlung an einen Server erfolgt und 
dass das Kundensystem Identifikationsdaten Uber die 60 
nicht zu versendenden Sendungen an den Server Uber- 
mittelt, und dass der Server die Identifikationsdaten an 
wenigstens eine OberprufungssteUe weiterleitet. 

5. Verfahren nach Anspruch 3, dadurch gekennzeich- 
net, dass die Obermittlung durch eine e-mail erfolgt 
6 Verfahren nach einem oder beiden der Anspruche 3 
oder 4, dadurch gekennzeichnet, dass die Ubermittlung 
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